[发明专利]一种攻击检测文件的发布方法、装置及存储介质

说明书

本申请涉及一种攻击检测文件的发布方法、装置及存储介质，所述发布方法包括：利用发布至旁路环境中的攻击检测文件对所述旁路环境中的网络流量数据进行检测，得到至少一个网络攻击数据包；在所述网络攻击数据包满足第一预设条件时，利用所述攻击检测文件提取所述网络攻击数据包中的攻击字符串；对所述攻击字符串进行误报检测；在接收到线上发布指令且误报检测的结果满足第二预设条件时，将所述攻击检测文件发布至所述线上环境。本申请能够解决现有技术中因人为操作或疏忽导致上线错误的攻击检测文件的问题。

技术领域

本申请涉及计算机技术领域，尤其涉及一种攻击检测文件的发布方法、装置及存储介质。

背景技术

WAF(Web application firewall，网络应用防火墙)通过检测Http/Https报文中的特征来对恶意的攻击请求进行阻断，主流的WAF均集成了正则表达式引擎，通过编写基于正则表达式的规则来检测恶意请求，从而进行对恶意的攻击请求进行阻断。

面对各种新增的漏洞和丰富的业务场景，在实际应用中需要频繁对基于正则表达式的规则进行变更，以保证变更后的规则能够用于检测新增的漏洞或适应丰富的业务场景。

然而，在对基于正则表达式的规则进行变更时，容易因人为操作或疏忽导致上线错误的规则，从而对正常业务造成误拦，或漏防恶意的攻击请求。

发明内容

本申请所要解决的技术问题在于，提供一种攻击检测文件的发布方法、装置及存储介质，能够解决现有技术中因人为操作或疏忽导致上线错误的检测文件的问题。

为了解决上述技术问题，一方面，本申请提供了一种攻击检测文件的发布方法，所述方法包括：利用发布至旁路环境中的攻击检测文件对所述旁路环境中的网络流量数据进行检测，得到至少一个网络攻击数据包；在所述网络攻击数据包满足第一预设条件时，利用所述攻击检测文件提取所述网络攻击数据包中的攻击字符串；对所述攻击字符串进行误报检测；在接收到线上发布指令且误报检测的结果满足第二预设条件时，将所述攻击检测文件发布至所述线上环境。

另一方面，本申请提供了一种攻击检测文件的发布装置，所述装置包括：网络攻击数据包获取模块，用于利用发布至旁路环境中的攻击检测文件对所述旁路环境中的网络流量数据进行检测，得到至少一个网络攻击数据包；攻击字符串获取模块，用于在所述网络攻击数据包满足第一预设条件时，利用所述攻击检测文件提取所述网络攻击数据包中的攻击字符串；误报检测模块，用于对所述攻击字符串进行误报检测；发布模块，用于在接收到线上发布指令且误报检测的结果满足第二预设条件时，将所述攻击检测文件发布至所述线上环境。

另一方面，本申请提供了一种计算机存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行任一项所述的攻击检测文件的发布方法。

本申请实施例利用发布至旁路环境中的攻击检测文件对所述旁路环境中的网络流量数据进行检测，得到至少一个网络攻击数据包，在所述网络攻击数据包满足第一预设条件时，利用所述攻击检测文件提取所述网络攻击数据包中的攻击字符串，并对所述攻击字符串进行误报检测，以及在接收到线上发布指令且误报检测的结果满足第二预设条件时，将所述攻击检测文件发布至所述线上环境。如此，只有在所述网络攻击数据包符合第一预设条件时才会提取其中的攻击字符串，以及在提取攻击字符后还会进一步对所述攻击字符串进行误报检测，从而避免了网络攻击数据包的异常增加，提高了发布在线上环境的攻击检测文件的可靠性，避免了上线后的攻击检测文件对正常业务造成误拦截或漏报攻击数据；并且，充分利用了旁路环境中的网络流量数据，在此基础上，可以将从旁路环境中网络流量数据中拦截的攻击内容回归到测试系统中以保证后续变更中不会出现漏报的情况。

附图说明